開源界會否面臨「華為之劫」？

雷鋒網 AI 科技評論按：近日，谷歌旗下安卓將對華為進行系統「封鎖」的報道，給國內科技界投下了一枚震撼彈。「覆巢之下復有完卵乎」，一時間人人感到自危，尤其當大家發現，向來以「開源」著稱的開源基金會及開源代碼託管平台，實際上也受美國出口管理條例 ( Export Administration Regulation , EAR ) 管制，過去深信「開源無國界」的國內開發者們開始擔心，類似的「封鎖」事件也會在這個領域上演。

在 5 月 20 日的一篇《開源界也要注意，Apache 基金會與 GitHub 都受美國法律約束》文中，「開源中國」通過展示 Apache 軟體基金會以及 GitHub 官網中涉及出口限制部分的內容，表示對開源項目在未來的「自由度」會否受到限制感到擔憂。

Apache 軟體基金會官網上的「產品出口須知」

Github 官網上的「出口管制規定」

文中指出，條款明確表明 GitHub Enterprise Server 不被允許出口至 EAR 限制清單中的國家，當中包括古巴、伊朗、朝鮮、蘇丹和敘利亞：

「GitHub Enterprise Server may not be sold to, exported, or re-exported to any country listed in Country Group E:1 in Supplement No. 1 to part 740 of the EAR or to the Crimea region of Ukraine. This list currently contains Cuba, Iran, North Korea, Sudan & Syria, but is subject to change.」

「那幾時突然再加進來一個中國呢？」「開源中國」在文中反問道。

開源項目受不受美國出口管制？

該文出來後，話題迅速發酵。其中，來自中科院計算所的包雲崗研究員反應最為迅速，他立馬組織人員開展調研，對 12 個知名開源基金會、6 個常用的開源協議、3 個代碼託管平台進行了調研與分析，並向海外朋友進行諮詢，最終得出以下結論：

1. 開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。例如：一、Linux 基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括 Linux Kernel 等默認遵循該管理辦法，但虛擬化項目 Xen 明確說明遵循美國出口管制，就屬於 Linux 基金會中的特例；二、Apache 基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如 Hadoop、Spark 都將受到出口管制。三、Mozilla 基金會明確聲明遵守加州法律，出現各類糾紛將必須到 Santa Clara 的法庭裁決。

2. 目前調研的開源許可協議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關的聲明。

3. 目前調研的 3 個代碼託管平台 GitHub、SourceForge、Google Code 均明確聲明遵守美國出口管制條例，並按加州法律解決糾紛。

• 小結：

合理的開源基金會管理辦法可以規避美國出口管制

開源協議與出口管制無關

代碼託管平台是開源的最大風險

雷鋒網 AI 科技評論認為，如果單就平台/協議聲明進行解讀的話，一切依然存在模糊性。

截至下午 6 點為止，該條微博已獲得 482 個轉發與 150 個點贊

如果從美國出口管理條例入手解讀，會不會對我們有更多啟發？

在個人微博上，包雲崗推薦了一篇由台灣開放文化基金會法制顧問、開源社法律諮詢委員會成員林誠夏先生撰寫的解讀文章《專家解讀：開源軟體項目是否會被限制出口？》，雷鋒網 AI 科技評論對原文進行了不改變原義的總結：

根據美國出口管理條例 EAR 734.7 (a) 條款，只要符合「公開可及 (Publicly available)」定義的軟體，就不在 EAR 的管制範圍內，也就不需要申請相關許可。

註：Part 734 章節里的 734.7 對於何謂「公開可及 (§ 734.7 PUBLISHED ) 做了定義說明及例示，簡要來說：「技術或軟體已經是被一般公眾可以接觸，並不限及其後續散布者 ( when it has been made available to the public without restrictions upon its further dissemination）。

目前看來，這個解讀基本上可以打消大部分人的顧慮，不過文中也強調一點：

EAR 734.7 (b) 說明「公開可及」的軟體雖然不要取得許可，可一旦軟體涉及加解密技術，申請許可就成為必要的流程。除非是這個加解密技術也是「公開可及」的，那麼只需要向美國 BIS 彙報備查即可。

只要不涉及加解密技術，我們就安全了嗎？

「開源中國」隨後發布的一篇文章《所以 Apache 基金會不受美國法律約束？》指出，經過與同行專家討論後，他們認為 Apache 軟體基金會官網關於產品出口說明的內容「表達的含義其實模稜兩可，充滿了不確定性。」：

Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.

美國的出口法律和法規適用於我們的分發，並且隨著產品和技術再出口到不同的地方依舊保持有效。

再者，基金會的聲明是否會直接影響項目的開源情況？兩者之間究竟是一個什麼樣的關係？這些我們依然未有明確答案。

來自網友的解讀

雷鋒網 AI 科技評論相信，這應該也是包雲崗研究員在個人微博上呼籲「儘快建立已有託管平台在美國以外的鏡像平台」的原因：

雖然這個建議受到一些網友的質疑：

無論如何，從長遠來看，他認為「中國必須建立起自己的開源項目託管平台」，這個措施的必要性，相信是毋庸置疑的。

對於此事，你又是怎麼看的？歡迎在下方留言與我們交流

雷鋒網 AI 科技評論

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！